Datenschutz: Was der Online-Status bei Messengern wie Whatsapp verrät
Messenger wie Whatsapp verraten mehr über deren Nutzer als bisher bekannt gewesen ist. Das haben Informatiker der Hochschule Ulm und der Universität Ulm herausgefunden. 19 Whatsapp-Nutzer gaben den Forschern einen Monat lang Einblick in ihr Leben. Über die Whatsapp-Server überwachten die Informatiker mit einem selbst entwickelten Programm deren Online-Status. Das war selbst dann möglich, wenn Nutzer in den Einstellungen angaben, dass niemand ihren Status einsehen dürfe. Nötig dafür war lediglich die Telefonnummer der Nutzer – und eine bekannte Sicherheitslücke(öffnet im neuen Fenster) auf dem Server, die die Forscher ausnutzten.
Bastian Könings, der an der Studie mitarbeitete, sagte Golem.de: "Das ist eigentlich weniger eine Sicherheitslücke denn ein gewolltes Feature. Whatsapp informiert auch in seinen Datenschutz-Richtlinien darüber, dass der Online-Status immer aktiv ist." Nutzer haben die Möglichkeit, diesen in den Einstellungen abzustellen, doch das Abstellen deaktiviert nur den Zuletzt-Online-Stempel. Könings: "Online ist aber immer sichtbar." Die Einstellung sei daher "irreführend, weil die meisten Nutzer denken, wenn sie das abstellen, dass auch der Online-Status weg ist."
Datenschutzrechtlich sei das formal korrekt, weil die Nutzer darüber ausdrücklich informiert würden. Gleichwohl entspreche das nicht dem Datenschutzziel der Datensparsamkeit. Eigentlich, so meinte Köning, sollte der Online-Status nur den Nutzern bekannt sein, die im eigenen Adressbuch sind. Bei Google Mail ist etwa der Status so gestaltet, wobei Google bei der Einführung von Google Plus den Online-Status auch allen Google-Plus-Kontakten bereitstellte.
Der Online-Status verrät den Tagesablauf eines Nutzers
Der Online-Status verrät mehr als nur den reinen Online-Status: Aus den Daten konnten die Forscher den kompletten Tagesablauf eines Anwenders rekonstruieren. So konnten sie anhand des Zeitstempels feststellen, wann eine Person morgens aufsteht oder ob der Kommunikationsdienst zu unangemessenen Zeiten, etwa während der Arbeitszeit im Büro, genutzt wird. Ein Partybesuch der studentischen Probanden konnte ebenfalls aus den Statusinformationen abgelesen werden, weil viele Teilnehmer bis drei Uhr in der Nacht aktiv waren.
"Die Schlussfolgerungen setzen voraus, dass man Kontextinformationen hat, ob jemand einen Job hat, ob er studiert oder welche Hobbys er verfolgt", sagte Köning. Außerdem sagte er, dass die Auswertung nur bei kleinen Gruppen funktioniere. Bei zu großen Gruppen entstehe ein zu großes Informationsrauschen. Die Forscher konnten auch feststellen, wer mit wem Kontakt hatte. Könings erläuterte das so: "Es gibt Zeiten, zu denen verschiedene Probanden sehr ähnliche Status-Muster hatten. Die von uns entwickelte Metrik untersuchte Probanden in bestimmten Zeitfenstern und berechnete die Wahrscheinlichkeit, ob sie gleichzeitig online waren und ob sie miteinander kommuniziert haben."
Wer kommuniziert mit wem?
In Interviews glichen die Forscher ihre Schlussfolgerungen mit den Teilnehmern ab. Daraus konnten sie ersehen, dass ihre Mutmaßungen zum größten Teil zutrafen. Etliche Studienteilnehmer reagierten geschockt: Denn schließlich kann jeder, der bei Whatsapp registriert ist und die Nummer der Zielperson in seinem Smartphone gespeichert hat, personenbezogene Informationen aus dem Zeitstempel ableiten.
Grundsätzlich betrifft das Problem alle Kommunikationsdienste, die mit dem Online-Status arbeiten: "Metadaten verraten oft mehr über Nutzer, als ihnen bewusst ist. Beim Systemdesign sollte der Datenschutz also immer mitgedacht werden", sagte Frank Kargl, Direktor des Instituts für Verteilte Systeme an der Universität Ulm.
In einem nächsten Schritt, so überlegen die Ulmer Informatiker, könnte man die Auswertungen zu der Frage "wer kommuniziert mit wem" weiter automatisieren. Könings: "Die momentane Metrik prüft nur die Überlappung von Online-Status und erfasst intensive Chats. Intelligentere Metriken könnten auch zeitlich versetzte Muster analysieren, die in Beziehung zueinander stehen, was flüchtigen Nachrichtenaustausch erfassen könnte."
Sicherheitstools zur Anti-Korruptionsbekämpfung
Was die Forscher können, können andere auch: So ist zu erwarten, dass schon bald Sicherheitstools auf den Markt kommen, die so arbeiten. Unternehmen, die schon seit Jahren auf Social-Media-Tools setzen, könnten sie etwa zur Anti-Korruptionsbekämpfung verwenden – oder um Whistleblower aufzudecken. Grundsätzlich jedoch problematisiert die Studie den Umgang mit Metadaten.
Eine Umfrage der TU-Chemnitz(öffnet im neuen Fenster) zum Umgang mit Metadaten in der Elektromobilität zeigte, dass die meisten Nutzer "etwas bereit" sind, Rohdaten und statistische Daten zu teilen. Bei Informationen, die aus beiden Datenarten hergeleitet werden können, zeigten sich die Nutzer hingegen "nicht sehr bereit". In den Einwilligungserklärungen für die Nutzung der Daten weisen die Betreiber meist nur auf die Verwendung von Rohdaten oder statistischen Daten hin, nicht jedoch auf ein mögliches nachgelagertes Datamining zur Profilbildung.
- Anzeige Hier geht es zu Erneuerbare Energien und Klimaschutz bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.